Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

Größe: px
Ab Seite anzeigen:

Download "Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5"

Transkript

1 econstor Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Klotz, Michael Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No Provided in Cooperation with: Fachhochschule Stralsund, Stralsund Information Management Team (SIMAT) Suggested Citation: Klotz, Michael (2014) : IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5, SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No , urn:nbn:de:0226-simat This Version is available at: Nutzungsbedingungen: Die ZBW räumt Ihnen als Nutzerin/Nutzer das unentgeltliche, räumlich unbeschränkte und zeitlich auf die Dauer des Schutzrechts beschränkte einfache Recht ein, das ausgewählte Werk im Rahmen der unter nachzulesenden vollständigen Nutzungsbedingungen zu vervielfältigen, mit denen die Nutzerin/der Nutzer sich durch die erste Nutzung einverstanden erklärt. Terms of use: The ZBW grants you, the user, the non-exclusive right to use the selected work free of charge, territorially unrestricted and within the time limit of the term of the property rights according to the terms specified at By the first use of the selected work the user agrees and declares to comply with these terms of use. zbw Leibniz-Informationszentrum Wirtschaft Leibniz Information Centre for Economics

2 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT Stralsund Information Management Team Januar 2014 ISSN X

3 Klotz, Michael: IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5. In: SIMAT Arbeitspapiere. Hrsg. von Michael Klotz. Stralsund: FH Stralsund, SIMAT Stralsund Information Management Team, 2014 (SIMAT AP, 6 (2014), 25), ISSN X Download über URN vom Server der Deutschen Nationalbibliothek: Impressum Fachhochschule Stralsund SIMAT Stralsund Information Management Team Zur Schwedenschanze Stralsund Herausgeber Prof. Dr. Michael Klotz Fachbereich Wirtschaft Zur Schwedenschanze Stralsund Autor Prof. Dr. Michael Klotz lehrt und forscht am Fachbereich Wirtschaft der FH Stralsund auf den Gebieten der Unternehmensorganisation und des Informationsmanagements. Er ist u. a. Wissenschaftlicher Leiter des SIMAT, regionaler Ansprechpartner der gfo Gesellschaft für Organisation e.v., Mitglied des wissenschaftlichen Beirats und Academic Advocate der ISACA sowie Mitherausgeber der Zeitschrift IT-Governance. Die SIMAT Arbeitspapiere dienen einer möglichst schnellen Verbreitung von Forschungs- und Projektergebnissen des SIMAT. Die Beiträge liegen jedoch in der alleinigen Verantwortung der Autoren und stellen nicht notwendigerweise die Meinung der FH Stralsund bzw. des SIMAT dar.

4 IT-Compliance nach COBIT Gegenüberstellung von COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz 1 Zusammenfassung: IT-Compliance ist mittlerweile integraler Bestandteil des IT-Managements. Die Zielsetzung der nachweislichen Konformität mit Gesetzen und anderen rechtlichen Regularien, aber auch mit Normen, Standards und internen Richtlinien ist allgemein akzeptiert. Aufgabenumfang, Methoden und Techniken der IT-Compliance sind in Theorie und Praxis derzeit jedoch noch im Fluss begriffen. Eine Orientierung kann hier das IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) bieten. Mit der aktuellen fünften Version ( COBIT 5 ) wurden grundlegende Erweiterungen und Änderungen des Frameworks vorgenommen. Inwieweit sich dies auf das IT-Compliance-Verständnis und das Management von IT-Compliance ausgewirkt hat, wird in diesem Arbeitspapier untersucht. Hierzu werden die vierte und die fünfte Version von COBIT auf ihre compliance-relevanten Aussagen hin untersucht und vergleichend gegenübergestellt. Im Ergebnis weist COBIT 4.0 in seiner Struktur zahlreiche Inkonsistenzen auf und behandelt die Compliance-Thematik eher beiläufig. Zwar ist Compliance in den Unternehmens- bzw. IT-Zielen verankert, aber die Compliance betreffenden IT-Prozesse sind im Vergleich zu COBIT 5 begrenzt. So beinhalten in COBIT 5 insgesamt 26 von 37 Prozessen Compliance-Aufgaben, während dies in COBIT 4.0 lediglich für 4 bzw. 11 von 34 IT-Prozessen gilt. Das Compliance-Verständnis von COBIT 5 umfasst sowohl die IT-Compliance als auch die IT-gestützte Corporate Compliance. Diese Unterscheidung wird bereits im Zielsystem im Rahmen der generischen Unternehmens- und der IT-Ziele abgebildet. Die für Compliance relevanten Regelwerke sind entweder externer Herkunft, wie im Falle von Gesetzen und behördlichen Vorgaben (auch Verträge werden dieser Gruppe zugeordnet), oder stammen aus dem Unternehmen selbst. Hierbei handelt es sich dann um Richtlinien, Verfahrensbeschreibungen, Hausstandards u. Ä. Durch die beträchtliche Erweiterung der Compliance-Thematik kann COBIT 5 insbesondere das Framework-Dokument in Verbindung mit dem prozessorientierten Enabler-Handbuch den mit IT-Compliance betrauten Funktionen und Personen als Orientierung und Hilfsmittel für die praktische Arbeit 1 Prof. Dr. Michael Klotz, FH Stralsund, Fachbereich Wirtschaft, Zur Schwedenschanze 15, Stralsund, SIMAT

5 dienen, beispielsweise bei der Definition von Compliance-Aufgaben, -Prozessen und -Verantwortlichkeiten oder bei der Einrichtung eines IT-Compliance-Managementsystems. Gliederung Vorwort... 5 Abbildungsverzeichnis... 6 Tabellenverzeichnis... 6 Abkürzungsverzeichnis IT-Compliance nach COBIT Überblick Compliance als Informationskriterium IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Der Prozess ME 3 zur Sicherstellung von Compliance Fazit zu COBIT IT-Compliance nach COBIT Überblick über die generellen Änderungen Compliance-Verständnis von COBIT Compliance als Teil der Unternehmensziele Compliance als Zielinhalt der IT-Ziele Compliance-relevante IT-Prozesse in COBIT Compliance-Rollen und -Organisationsstrukturen Compliance im Rahmen der MEA-Domäne Compliance im Rahmen des COBIT 5 Informationsmodells Fazit zu COBIT Quellenangaben Schlüsselwörter: COBIT Informationsmodell IT-Compliance IT-Management IT-Prozesse IT-Ziele Prozessmodell Unternehmensziele JEL-Klassifikation: K12, K23, K32, K34, L15, L21, M14, M21, M42 SIMAT

6 Vorwort Das vorliegende Arbeitspapier verbindet zwei wichtige Themen des IT-Managements: IT-Compliance und COBIT 2. Zum einen stellt IT-Compliance ein mittlerweile sowohl in der Wissenschaft als auch in der Wirtschaft breit akzeptiertes Aufgabenfeld des IT-Managements dar. Dies lässt sich allein daran erkennen, dass im Akronym GRC (bzw. der auf die Informationstechnologie bezogenen Variante IT-GRC ) das C für Compliance steht. Gleichwohl sind in Theorie und Praxis Aufgabenumfang und -abgrenzung sowie Methoden und Techniken der IT-Compliance noch im Fluss begriffen. Insofern ist es zum anderen von Interesse, das derzeit führende IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) sowohl in seiner vierten als auch in seiner aktuellen fünften Version näher zu betrachten und dahingehend zu analysieren, wie das Framework die Compliance-Thematik in der IT adressiert. Hierbei wird auch immer auf die Diskussion in Wissenschaft und Fachwelt zurückgegriffen. Dennoch soll die Arbeit in erster Linie dem IT-Praktiker, der COBIT in seiner Arbeit verwendet, eine Hilfestellung und insbesondere einen schnellen Überblick über die compliance-relevanten Domänen und Prozesse von COBIT bieten. Prof. Dr. Michael Klotz 2 COBIT, ISACA und ITGI sind eingetragene Warenzeichen der Information Systems Audit and Control Association (ISACA) und des IT Governance Institute (ITGI). SIMAT

7 Abbildungsverzeichnis Abb. 1 Kontrollziele des Prozesses ME Abb. 2 Unterscheidung zwischen Governance und Management nach COBIT 5... Abb. 3 COBIT 5-Produktfamilie Abb. 4 Von den MEA-Prozessen unterstützte IT-bezogene Complianceziele Tabellenverzeichnis Tab. 1 Compliance-Inhalte der COBIT 4.0 IT-Prozesse Tab. 2 Indikatoren des Prozesses ME Tab. 3 Maturitätsmodell des Prozesses ME Tab. 4 COBIT 5 Domänen Tab. 5 Unterstützung der Unternehmensziele durch IT-Ziele Tab. 6 IT-Ziel 2 unterstützende Prozesse Tab. 7 IT-Ziel 15 unterstützende Prozesse Tab. 8 Tab. 9 Beteiligung der Compliance-Funktion an den Managementpraktiken Beteiligung des Datenschutzbeauftragten an den Managementpraktiken Tab. 10 Managementpraktiken der MEA-Prozesse Tab. 11 Zuordnung von Informationsobjekten zu IT-Zielen Tab. 12 Vergleich von COBIT 4.0 und COBIT 5 in Bezug auf Compliance SIMAT

8 Abkürzungsverzeichnis AI APO AO BAI BSC CIO CMMI COBIT DS DSB DSS EDM GRC HGB IEC IKS ISACA ISO IT ITGI ITIL KGI KPI ME MEA OLA P PAM PBRM PMBOK PO RACI S SIMAT SLA TOGAF USA Acquire and Implement Align, Plan and Organise Abgabenordnung Build, Acquire and Implement Balanced Scorecard Chief Information Officer Capability Maturity Model Integration Control Objectives for Information and Related Technology Deliver and Support Datenschutzbeauftragter Deliver, Service and Support Evaluate, Direct and Monitor Governance Risk Compliance Handelsgesetzbuch International Electrotechnical Commission Internes Kontrollsystem Information Systems Audit and Control Association International Organization for Standardization Informationstechnik / Informationstechnologie IT Governance Institute Information Technology Infrastructure Library Key Goal Indicator Key Performance Indicator Monitor and Evaluate Monitor, Evaluate and Assess Operating-Level-Agreement primär Process Assessment Model Plan, Build, Run, Monitor Project Management Body of Knowledge Plan and Organize Responsible, Accountable, Consulted, Informed sekundär Stralsund Information Management Team Service-Level-Agreement The Open Group Architecture Framework United States of America SIMAT

9 1 IT-Compliance nach COBIT Überblick Das die Unternehmens-IT adressierende Framework COBIT (Control Objectives for Information and Related Technology) wurde seit 1993 von dem in den USA ansässigen, international agierenden Prüfungsverband ISACA (Information Systems Audit and Control Association) entwickelt und erstmals im April 1996 veröffentlicht. 3,4 Die erste Version von COBIT legte dem Namen entsprechend den Schwerpunkt auf Anforderungen an die IT als so genannte Kontrollziele ( Control Objectives ) und adressierte damit in erster Linie die Arbeit von Wirtschaftsprüfungsunternehmen. Durch die Verfolgung dieser Kontrollziele, ihre regelmäßige, systematische Überprüfung und die Umsetzung entsprechender Maßnahmen sollte in Unternehmen ein effizienter und effektiver Einsatz von IT-Ressourcen (d. h. von Anwendungen, Informationen, IT-Infrastruktur und Personal) für die Erreichung von Wettbewerbsvorteilen gewährleistet werden. An diesem Anspruch hat sich bis heute nichts geändert. Im Verlauf der Jahre entwickelte sich COBIT zunehmend zu einem umfassenden Instrument für das IT-Management, mit dem die verschiedenen IT-Domänen und -Prozesse nicht nur nachgelagert geprüft, sondern proaktiv gestaltet werden können. Das zentrale COBIT-Framework wurde über die Versionen hinweg durch ergänzende Frameworks erweitert, zum einen durch das auf den Wertbeitrag von IT-Investitionen fokussierte Framework Val IT, zum anderen durch das IT-Risiko-Framework Risk IT. 5 Mittlerweile berücksichtigt COBIT auch wichtige Normen und Standards, z. B. Entstehung von COBIT Entwicklung von COBIT die sog. Information Technology Infrastructure Library 6, The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBOK) und verschiedene ISO/IEC-Normen, wie beispielsweise die ISO/IEC (für das IT-Servicemanagement), 3 Dieser Abschnitt basiert auf Klotz 2011, S Nach Gaulke 2010, S. 8. Dort findet sich auf den S eine detaillierte Darstellung der Entwicklung von COBIT. 5 Siehe ITGI 2006 und ISACA Die zugehörige Abkürzung ITIL ist ein eingetragenes Warenzeichen des Cabinet Office. SIMAT

10 die ISO/IEC (für das Risikomanagement im Rahmen eines Informationssicherheitsmanagementsystems) oder die ISO/IEC (für die IT-Governance). 7 Aufgrund seiner übergeordneten Management- und Steuerungssicht kann das COBIT-Framework als Integrator dienen, wenn ein Unternehmen die gleichzeitige Nutzung dieser Normen und Standards aufeinander abstimmen will. 8 Aus dieser umfassenden Sichtweise folgte dann auch die Positionierung von COBIT als Framework für die IT-Governance. 9 COBIT 4.0 wurde Ende 2005 veröffentlicht, im Jahr darauf auch in deutscher Übersetzung. 10 Neben dem zentralen Dokument COBIT 4.0, welches das IT-Prozessmodell beinhaltet, gibt es zahlreiche weitere COBIT- Produkte, z. B. die grundlegende Darstellung IT Governance für Geschäftsführer und Vorstände, den prüfungsorientierten IT Assurance Guide oder den die Umsetzung unterstützenden IT Governance Implementation Guide. 11 Im Folgenden konzentrieren sich die Ausführungen auf das COBIT 4.0-Dokument, in dem das IT-Governance-Modell und die IT- Prozesse beschrieben werden und das auch im Mittelpunkt der fachlichen Auseinandersetzung in Theorie und Praxis steht. Auf die sonstigen COBIT- Produkte wird lediglich am Rande Bezug genommen. Kern von COBIT 4.0 ist das Domänen- und Prozessmodell, das aus insgesamt 34 IT-Prozessen in folgende vier Domänen besteht: Planung und Organisation (engl. Plan and Organize PO); Beschaffung und Implementierung (engl. Acquire and Implement AI); Betrieb und Unterstützung (engl. Deliver and Support DS); Überwachung und Bewertung (engl. Monitor and Evaluate ME). COBIT als Integrator COBIT 4.0 COBIT-Domänen Eine aktuelle Auflistung der Normen und Standards, die von COBIT integriert werden, findet sich in ISACA 2012a, S. 47. Vgl. ITGI 2005, S Gleichwohl richtet sich in Praxis und Wissenschaft der Fokus nach wie vor auf die Kontrollaspekte von COBIT, vgl. bspw. Martens u. a. 2010, Sowa Böhm u. a. sehen in der Herkunft aus dem Prüfungsbereich die Chance, dass COBIT in der Lage dazu sein kann, konfligierende Anforderungen aus Geschäfts- und Compliance-Orientierung in einem zeitgemäßen IT-Management zu vereinen, Böhm u. a. 2009, S. 12f. Mitte 2007 folgte die überarbeitete Version 4.1, die jedoch nicht mehr ins Deutsche übersetzt wurde. Zur besseren Nachvollziehbarkeit beziehen sich die weiteren Ausführungen auf die deutsche Version COBIT 4.0. Siehe ITGI 2003, ITGI 2007a und ITGI 2007b. SIMAT

11 Für jeden Prozess beinhaltet eine Prozessbeschreibung die von diesem IT- Prozess unterstützten Unternehmensziele und ein übergeordnetes Kontrollziel, das in 3 bis 15 detaillierte Kontrollziele in Form von normativen Aussagen untergliedert wird. Insgesamt enthalten die Prozessbeschreibungen 210 Kontrollziele, die unabhängig sowohl vom informations- und kommunikationstechnischen als auch vom geschäftlichen Umfeld (Branche, Unternehmensgröße, Organisationsstruktur etc.) sind. 12 COBIT 4.0 berücksichtigt die Compliance-Thematik in verschiedener Hinsicht: Kontrollziele Compliance in COBIT 4.0 Um die Unterstützung der Unternehmensziele durch die IT zu verdeutlichen, verwendet COBIT 4.0 ein Modell generischer Unternehmensziele, in dem zwei von zwanzig Unternehmenszielen strukturiert nach der Systematik einer Balanced Scorecard (BSC) die Compliance des Unternehmens adressieren. Zum einen ist dies das Ziel Compliance mit Gesetzen und Regulativen (Ziel Nr. 14), zum anderen das Ziel Compliance mit internen Regelungen (Ziel Nr. 16). Beide Ziele sind Bestandteil der internen BSC-Perspektive. 13 Weiterhin definiert COBIT 4.0 insgesamt 28 generische IT-Zielsetzungen, die durch die Ausführung der IT-Prozesse erreicht werden. Eine dieser Zielsetzungen ist das IT-Ziel Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher (Ziel Nr. 27). Dieses unterstützt gemeinsam mit sechs weiteren IT-Zielsetzungen die Erreichung des o. g. Unternehmensziels in Bezug auf Compliance mit Gesetzen und Regulativen. 14 Das compliance-bezogene IT-Ziel wiederum wird von vier IT- Prozessen unterstützt, drei ME-Prozessen und einem DS-Prozess Vgl. Gaulke 2010, S. 11. Vgl. ITGI 2005, S Das Unternehmensziel in Bezug auf Compliance mit internen Regelungen wird jedoch nach der Kreuztabelle im Anhang I zu COBIT 4.0 nicht vom IT-Complianceziel unterstützt (siehe ebd., S. 190), obwohl häufig interne Regelungen dazu dienen, externe Vorgaben umzusetzen. Dies ist ein erstes Beispiel für die häufig anzutreffende systematische Inkonsistenz von COBIT 4.0. Nach ebd., S Bei dem IT-Prozess der Domäne Deliver and Support handelt es sich um den Prozess DS 11 (Manage Daten). Obwohl er dem IT-Complianceziel zugewiesen ist, ist in der zugehörigen Prozessbeschreibung das Informationskriterium Compliance nicht entsprechend markiert, siehe ebd., S Andererseits ist der Prozess ME 1 (Monitore und evaluiere IT-Performance) nicht dem IT-Complianceziel zugeordnet, obwohl dieser nach dem Informationskriterium Compliance den Prozess immerhin sekundär unterstützt (siehe ebd., S. 171) noch eine Inkonsistenz von COBIT 4.0. SIMAT

12 Eine weitere Verankerung der Compliance-Thematik findet sich bei COBIT im Rahmen des IT-Risikomanagements. Mit der Positionierung von COBIT als Framework für die IT-Governance rückt auch das Risikomanagement als wichtiges Handlungsfeld des IT-Managements in den Vordergrund. Das Verständnis für Compliance-Erfordernisse wird hierbei als notwendig erachtet, um zu einem entsprechenden Bewusstsein für Compliance-Risiken und eine diesbezügliche Risikobereitschaft zu gelangen. 16 Eine diesbezügliche Unterstützungsfunktion wird einem IT Strategy Committee zugeordnet, das der Unternehmensleitung bei der Steuerung und Überwachung der IT zur Seite steht. 17 Hinsichtlich der Verantwortlichkeit für Compliance richtet sich COBIT 4.0 explizit an interne und externe Stakeholder, die Compliance- Aufgaben wahrnehmen. Das Rollenmodell von COBIT sieht eine Rolle Compliance, Audit, Risk und Security vor, in der diejenigen Stellen, Abteilungen oder Dienstleister zusammenfasst sind, denen eine Überwachungsfunktion, aber keine operative Verantwortung in der IT obliegt. 18 Aber auch die weiteren Rollen sind in unterschiedlichem Ausmaß an der Gewährleistung von Compliance beteiligt. Compliance stellt eines von sieben Informationskriterien ( Information Criteria ) dar. Diese Informationskriterien stellen unternehmensspezifische Anforderungen dar, mit denen sich der Informationsbedarf definieren lässt. Aus der Zuordnung des Compliance-Informationskriteriums lassen sich insgesamt elf IT-Prozesse identifizieren, die für die Erreichung von Compliance relevant sind. Am umfangreichsten adressiert COBIT 4.0 das Compliance-Thema in einem seiner der 34 IT-Prozesse. So dient der Prozess ME 3 ("Stelle Compliance mit Vorgaben sicher") der COBIT-Domäne "Überwachung und Bewertung" speziell der Sicherstellung von (gesetzlicher und regulativer) Compliance Nach ITGI 2005, S. 7. Nach ITGI 2003, S. 71f. Im IT Governance Implementation Guide stellen Risk und Compliance eine eigene Stakeholdergruppe dar, deren Interessen im gesamten Einführungsprozess explizit zu berücksichtigen sind, siehe ITGI 2007a, S. 11. SIMAT

13 1.2 Compliance als Informationskriterium Informationen müssen zur Erreichung der Unternehmensziele bestimmten unternehmensspezifischen Anforderungen genügen, die in COBIT 4.0 als "Informationskriterien" (engl. information criteria) bezeichnet werden. 19 Eines der sieben aufgeführten Informationskriterien ist das Kriterium Compliance. 20 Aus der Beschreibung dieses Kriteriums ist das Complianceverständnis von COBIT 4.0 abzuleiten: Nach COBIT 4.0 umfasst Compliance die Einhaltung von Gesetzen, Regulativen und vertraglichen Vereinbarungen, die ein Geschäftsprozess zu berücksichtigen hat. Hierbei sind externe Vorschriften ebenso wie interne Richtlinien zu berücksichtigen. 21 Mit der Betonung der Geschäftsprozesse versteht COBIT IT-Compliance primär als Beitrag der IT zur Sicherstellung der Compliance von Geschäftsprozessen mithin als IT-gestützte Compliance. 22 Die Erfüllung der Informationskriterien durch die IT-Prozesse wird in jeder Prozessbeschreibung als primär (P) oder sekundär (S) markiert bzw. bei mangelnder Relevanz entfällt eine Markierung. Hierdurch sind alle IT- Prozesse zu identifizieren, die einen mehr oder minder wichtigen Beitrag zur Erreichung von Compliance leisten. Im Ergebnis zeigt sich, dass Compliance von insgesamt elf IT-Prozessen über alle vier COBIT-Domänen hinweg adressiert wird. 23 Compliance- Begriff Primäre/sekundäre Unterstützung 1.3 IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Dadurch, dass jeder IT-Prozess dahingehend charakterisiert wird, welche Informationskriterien als unternehmensspezifische Anforderungen er unterstützt, kann jeder compliance-relevante IT-Prozess identifiziert werden 24. In Nach ITGI 2005, S. 14. Im Kern bestehen die Informationskriterien aus den informationsbezogenen Sicherheitsanforderungen der Vertraulichkeit, der Integrität und der Verfügbarkeit. Hinzu kommen die Kriterien Wirksamkeit, Wirtschaftlichkeit und Verlässlichkeit, vgl. ebd. Nach ebd.; vgl. Johannsen/Goeken 2010, S. 61. Zur Diskussion des Unterschieds zwischen IT-Compliance und IT-gestützter Compliance siehe Klotz/Dorn 2008, S. 9f. Die Tatsache, dass die Erreichung des compliance-bezogenen IT-Ziels von nur vier IT- Prozessen unterstützt wird, durch das Informationskriterium Compliance aber elf compliance-relevante IT-Prozesse identifiziert werden können, stellt eine weitere Inkonsistenz von COBIT 4.0 dar. Es finden sich in verschiedenen, nicht in Tabelle 1 aufgeführten IT-Prozessen jedoch weitere Compliance-Bezüge, ohne dass dies explizit durch das Informationskriterium SIMAT

14 der Prozessbeschreibung muss dann allerdings der jeweilige Compliance- Bezug durch Textstudium ermittelt werden. Tabelle 1 enthält das Ergebnis dieser Analyse für alle elf Prozesse, die für das Informationskriterium Compliance relevant sind. Notation IT-Prozess Compliance-Bezug PO 6 Kommuniziere Ziele und Richtung des Managements Im Rahmen dieses Prozesses sind Richtlinien zu erstellen, die die Nutzung der IT leiten. Hierzu ist eine IT-Kontrollumgebung einzurichten. Bestandteil dieser Richtlinien ist auch die Verpflichtung zu Compliance, die durch eine geeignete Überwachung, d. h. durch Kontrollen und Prüfungen im gesamten Unternehmen sicherzustellen ist. Tabelle 1 Compliance-Inhalte der COBIT 4.0 IT- Prozesse 25 PO 9 AI 4 AI 5 DS 1 Beurteile und manage IT-Risiken Ermögliche Betrieb und Verwendung Beschaffe IT- Ressourcen Definiere und manage Service Levels Die mangelnde Erfüllung externer Anforderungen (vor allem aus rechtlichen Vorgaben) wird als potenzielles IT-Risiko eingestuft, das es im Rahmen eines IT-Risikomanagements zu steuern gilt. Die Verantwortung für die fachliche Nutzung von Anwendungen liegt nach COBIT in der Fachabteilung bzw. beim Geschäftsprozesseigner. Diese Verantwortung richtet sich auch auf Compliance- Vorgaben, die der Geschäftsprozess einzuhalten hat und deren Einhaltung durch entsprechende Kontrollen sicherzustellen ist. In diesem Prozess sind alle diejenigen Aktivitäten compliance-relevant, die sich auf vertragliche Anforderungen richten. Dies sind vor allem die Entwicklung von IT-Beschaffungsrichtlinien, die Lieferantenauswahl, die Vertragsgestaltung und die Durchführung der Beschaffung. Hierbei stellt ein Vertragsmanagement die Compliance mit vertraglichen Vorgaben für die gesamte Unternehmens-IT nachweislich sicher. Fragen der Compliance werden im Service-Level- Management dann relevant, wenn die zu vereinbarenden Service-Level-Agreements (SLAs) oder Operating-Level-Agreements (OLAs) Compliance- Anforderungen zu berücksichtigen haben. Die entsprechenden Festlegungen sind auch Gegenstand 25 Compliance markiert wird. So soll beispielsweise auch der IT-Prozess PO 3 (Bestimme die technologische Richtung) technische und regulatorische Compliance sicherstellen, vgl. ITGI 2005, S. 41ff. Gleiches gilt für die Beschreibung der Prozesse im IT Assurance Guide, wo ebenfalls weitere Compliance-Bezüge aus Prüfungssicht hergestellt werden, für den genannten Prozess PO 3, siehe ITGI 2007b, S. 62ff. Entnommen aus Klotz 2011, S. 602f. SIMAT

15 Notation IT-Prozess Compliance-Bezug der Überwachung, des Berichtswesens und etwaiger Reviews. DS 2 DS 5 ME 1 ME 2 ME 3 ME 4 Manage Leistungen von Dritten Stelle Security von Systemen sicher Monitore und evaluiere IT- Performance Monitore und evaluiere Internal Controls Stelle Compliance mit Vorgaben sicher Sorge für IT- Governance Das Management von Drittleistungen umfasst explizit auch auf die Erfüllung von Compliance-Anforderungen durch den Lieferanten. Die Anzahl der diesbezüglichen Fälle von Non-Compliance ist ein Indikator der Leistungsmessung. Im Rahmen der IT-Sicherheit ist die Compliance von IT-Sicherheitsrichtlinien und die Umsetzung zahlreicher compliance-relevanter Einzelfragen, wie Berechtigungskonzepte, Funktionstrennungen, Dokumentationsverpflichtungen oder Sicherheitszertifizierungen, relevant. Die Leistungsüberwachung hat sich auch auf das Erreichen von Compliance zu beziehen. Hierfür sind geeignete Leistungsindikatoren zu bestimmen und in das Berichtssystem zu integieren. Ziel dieses Prozesses ist es, eine Aussage darüber zu erhalten, ob bzw. inwieweit Gesetze und Vorschriften eingehalten werden. Hierzu soll sich das interne Kontrollsystem der IT an Richtlinien und Normen orientieren. Rechtliche, regulatorische und vertragliche Anforderungen müssen durch das IT- Kontrollsystem abgedeckt sein, wobei die Kontrollen auch externe Dienstleister zu berücksichtigen haben. Dies ist der zentrale IT-Prozess, durch den insbesondere die externe Compliance mit gesetzlichen und regulativen Vorgaben sichergestellt wird. Auch dieser Governance-Prozess zielt auf die Einhaltung von Gesetzen und Vorschriften. Konkret wird gefordert, dass durch eine interne oder externe Prüfung "die Compliance der IT mit ihren Richtlinien, Standards und Verfahren sowie mit allgemein anerkannten Praktiken" 26 bestätigt wird. In Bezug auf den Grad der Unterstützung der Compliance-Anforderung durch den betreffenden IT-Prozess nimmt COBIT eine 2-stufige Differenzierung (primär, sekundär) vor. Den in der Tabelle 1 enthaltenen Prozessen wird bis auf Prozess ME 3 durchgängig eine sekundäre Bedeutung zugemessen. 26 ITGI 2005, S SIMAT

16 1.4 Der Prozess ME 3 zur Sicherstellung von Compliance Der Prozess ME 3 "Stelle Compliance mit Vorgaben sicher" (engl. Ensure Regulatory Compliance) ist der dritte Prozess der Domäne "Überwachung und Bewertung". 27 Die Prozessbezeichnung stellt gleichzeitig das übergeordnete Kontrollziel dar. Dieses wird dann erreicht, wenn eine "positive Bestätigung der Einhaltung von Gesetzen und Vorschriften vorliegt". 28 Allerdings ist eine derartige Bestätigung allein für eine Messung der Zielerreichung nicht als ausreichend anzusehen. Vielmehr sollen für die Messung der Zielerreichung folgende Indikatoren Verwendung finden: Compliance- Prozess ME 3 Kosten von Non-Compliance, z. B. Straf- und Vergleichszahlungen; durchschnittliche Zeitdauer zwischen dem Auftreten externer Compliance-Probleme und deren Lösung; Häufigkeit von Compliance-Reviews. Die Prozessbeschreibung enthält fünf Kontrollziele, die als normative Aussagen den Inhalt und den Umfang des Compliance-Managements in der IT nach COBIT 4.0 wiedergeben, vgl. Abbildung 1. Abbildung 1 Kontrollziele des Prozesses ME 3 29 COBIT 4.0 Das Kontrollziel ME 3.1 beinhaltet eine Aussage zum Umfang der zu berücksichtigenden Compliance-Anforderungen. Diese ergeben sich aus rechtlichen und sonstigen regulatorischen Vorgaben (z. B. zu Datenschutz, Urheberrecht oder Regelungen zur Gesundheit und Arbeitnehmersicherheit) Detaillierte Kontrollziele Im Folgenden nach ITGI 2005, S. 179ff. Ebd., S Nach Klotz 2011, S SIMAT

17 sowie aus Verträgen und Richtlinien. Um diesen Vorgaben in den verschiedenen IT-Aktivitäten zeitnah nachkommen und so Compliance sicherstellen zu können, ist ein entsprechender interner Prozess der Identifikation und der Umsetzung durch IT-Richtlinien, -Standards und -Verfahren erforderlich (ME 3.2). Die Einhaltung der Compliance-Anforderungen ist auf wirtschaftliche Weise kontinuierlich zu prüfen und zu beurteilen (ME 3.3). Ergebnisse sind adäquat zu berichten und gehen in die Leistungsdarstellung der IT- Funktion ein. Bei Feststellung von Compliance-Lücken sind Maßnahmen einzuleiten, vor allem in Bezug auf die Anpassung von IT-Richtlinien, -Standards und -Verfahren. Die Verantwortung hierfür wird den Prozesseignern (engl. process owner) zugeordnet (ME 3.4). Abschließend sind die Ergebnisse mit Ergebnissen anderer Unternehmensfunktionen abzustimmen und in die generelle Berichterstattung der Corporate Compliance zu integrieren (ME 3.5). 30 Die Beschreibung der einzelnen Control Objectives wird zu fünf Schlüsselaktivitäten verdichtet, die sowohl Teil des RACI-Modells als auch Grundlage der Erfolgsmessung sind: Schlüsselaktivitäten Definiere einen Prozess zur Identifikation von Anforderungen aus Gesetzen, Verträge, Richtlinien und sonstigen Regulativen und führe diesen aus; Evaluiere Compliance der IT-Aktivitäten mit IT-Richtlinien, Standards und Verfahren; Berichte die eindeutige Zusicherung, dass die IT-Aktivitäten mit IT- Richtlinien, Standards und Verfahren übereinstimmen; Liefere Input zum Angleichen der mit IT-Richtlinien, Standards und Verfahren in Reaktion auf Compliance-Erfordernisse; Integriere die IT-Berichterstattung über regulative Anforderungen mit ähnlichem Output von anderen Bereichen. 31 Im dem dem Prozess zugehörigen RACI-Modell (R = responsible, A = accountable, C = consulted, I = informed) wird die Rechenschaftspflicht (A) in Bezug auf die Compliance der IT-Funktion dem Chief Information Officer (CIO) zugeordnet. Dagegen liegt die Durchführungsverantwortung (R) sowohl beim CIO als auch bei den Mitgliedern der Führungsebene Raci-Modell Vgl. ITGI 2005, S Ebd. SIMAT

18 unterhalb des CIO, d. h. bei den Leitungen für IT-Betrieb, -Entwicklung und -Administration, ebenso beim IT-Chefarchitekt sowie bei den complianceaffinen Stellen mit Kontroll- und Berichtsverantwortung (Corporate Compliance, Audit, Risiko und Sicherheit). Jeder IT-Prozess hat zur Erfüllung der unternehmensspezifischen Anforderungen beizutragen, gemessen durch so genannte "Key Goal Indicators" (KGI). Diese Messung beinhaltet auch die Bestätigung der Compliance der unterstützten Geschäftsprozesse. 32 Generell wird zwischen Leistungs- und Zielindikatoren unterschieden. Der Leistungsindikator (Key Performance Indicator KPI) misst das Erreichen der Aktivitätsziele, die beiden Zielindikatoren (Key Goal Indicator KGI und IT Key Goal Indicator) messen das Erreichen der Prozessziele bzw. der IT-Ziele. Tabelle 2 beinhaltet die verschiedenen Indikatoren. Indikatoren für Compliance Key Performance Indicators Key Goal Indicators IT Key Goal Indicators Tabelle 2 Indikatoren des Prozesses ME 3 33 Durchschnittliche Zeitspanne zwischen Identifizierung externer Compliance-Themen und deren Lösung Durchschnittliche Zeitspanne zwischen der Veröffentlichung eines neuen Gesetzes oder einer neuen Vorschrift und der Einleitung eines Compliance- Reviews Anzahl der pro Jahr identifizierten, kritischen Non- Compliance Fälle Häufigkeit der Compliance-Reviews Kosten der IT Non- Compliance, einschließlich Vergleichen und Strafen Anzahl der Non- Compliance Fälle, die an die Geschäftsführung berichtet oder die öffentliches Aufsehen und Reaktionen hervorgerufen haben Schulungstage pro IT- Mitarbeiter pro Jahr in Bezug auf Compliance COBIT 4.0 beinhaltet als Grundlage einer Bewertung der Prozessreife ein Maturitätsmodell, das an das Reifegradmodell von CMMI (Capability Maturity Model Integration) angelehnt ist. Für ME 3 enthält Tabelle 3 die wesentlichen Merkmale des Maturitätsmodells. Maturitätsmodell Nach ITGI 2005, S. 25. Nach ebd., S SIMAT

19 Stufe 0 (nicht existent) 1 (initial) 2 (wiederholbar, aber intuitiv) 3 (definiert) 4 (gemanaged und messbar) Merkmal Bewusstsein für Compliance-Anforderungen ist nur gering ausgeprägt. Prozess zur Einhaltung von Compliance-Anforderungen ist nicht vorhanden. Bewusstsein für Compliance-Anforderungen ist vorhanden. Informelle Prozesse zur Aufrechterhaltung von Compliance im Rahmen von Projekten oder als Folge von Audits werden befolgt. Bewusstsein für externe Compliance-Anforderungen ist vorhanden und Notwendigkeit wird kommuniziert. Bereichsspezifische Compliance-Verfahren sind definiert. Wissen und Verantwortung von Einzelpersonen stehen im Vordergrund. Compliance-Schulungen erfolgen informell. Richtlinien, Verfahren und Prozesse sind entwickelt, dokumentiert und kommuniziert, werden aber nicht durchgängig angewendet. Eine Überwachung der Compliance erfolgt nur eingeschränkt. Manche Compliance-Anforderungen werden nicht erfüllt. Compliance-Schulungen werden für den Bereich der gesetzlichen und regulatorischen Vorgaben angeboten. Verständnis für Compliance und diesbezügliche Gefahren ist umfassend vorhanden. Ein formelles Compliance-Schulungsprogramm existiert. Sämtliche Mitarbeiter sind sich ihrer Compliance- Verpflichtung bewusst. Standardisierte Compliance-Prozesse zur Überwachung von Non-Compliance sind etabliert. Reviews des Umfeldes werden genutzt. Ursachen von Non-Compliance werden identifiziert und nachhaltig beseitigt. Tabelle 3 Maturitätsmodell des Prozesses ME In enger Anlehnung an Klotz 2011, S. 604f. SIMAT

20 Stufe 5 (optimiert) Merkmal Ein effektiver und effizienter Prozess zur Einhaltung externer Anforderungen ist vorhanden. Eine zentrale Compliance-Funktion, die den Compliance-Prozess steuert, ist etabliert. Wissen über externe Anforderung ist umfangreich vorhanden und wird intern kommuniziert. Das Unternehmen ist in externe Plattformen integriert und kann auf externe Anforderungen Einfluss nehmen. Der Compliance-Überwachungsprozess erfolgt systemgestützt. Ein Self-Assessment in Bezug auf externe Anforderungen ist implementiert, sodass Non-Compliance nur selten auftritt. Compliance-Schulungen müssen nur noch für neue Mitarbeiter oder bei wesentlichen Veränderungen durchgeführt werden. 1.5 Fazit zu COBIT 4.0 Grundlegend ist festzuhalten, dass COBIT 4.0 IT-Compliance in einem Umfang adressiert, der für das Publikationsjahr 2005 als durchaus umfangreich bezeichnet werden kann. 35 Das Compliance-Verständnis von COBIT 4.0 ist überwiegend das der IT-gestützten Compliance. Im Vordergrund steht hier die Frage, wie IT zur Compliance von Geschäftsprozessen beitragen kann. Dass sich Compliance-Anforderungen auch direkt an die IT richten, wird in diese Sichtweise integriert, wenn auch nur selten explizit, wie z. B. für den Datenschutz. Zudem fokussiert COBIT 4.0 die Compliance mit externen Regelwerken, also gesetzlichen, regulativen und vertraglichen Vorgaben. Das Begriffsverständnis bleibt jedoch zumindest teilweise unklar, insbesondere hinsichtlich des Umfanges von regulativen Vorgaben und der Bedeutung von Normen. Die begriffliche Unschärfe führt auf der Ebene der Unternehmens- und der IT-Ziele dazu, dass das Unternehmensziel der Compliance mit internen Regelungen nicht mit dem zentralen Compliance-Prozess ME 3 verbunden ist. Externer Fokus Inkonsistenzen im Zielsystem 35 Dass die COBIT-Perspektiven mit IT-Compliance erst noch zu ergänzen seien, wie es Bäumöl für erforderlich zu halten scheint, ist insofern nicht ganz nachvollziehbar, vgl. Baumöl 2012, S. 11. SIMAT

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP 06-14-025 IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Pfeil,

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Welchen Nutzen bringt COBIT 5?

Welchen Nutzen bringt COBIT 5? Welchen Nutzen bringt COBIT 5? Optimale Aufstellung der Unternehmens-IT zur Erreichung der Unternehmensziele: Steigerung des Unternehmenswertes Zufriedenheit der Geschäftsanwender Einhaltung der einschlägigen

Mehr

Working Paper Gründungen und Liquidationen im Jahr 2006 in Deutschland. Working Paper, Institut für Mittelstandsforschung (IfM) Bonn, No.

Working Paper Gründungen und Liquidationen im Jahr 2006 in Deutschland. Working Paper, Institut für Mittelstandsforschung (IfM) Bonn, No. econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Günterberg,

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Bearbeitet von Stefan Beck 1. Auflage 2015. Taschenbuch. 148 S. Paperback ISBN 978 3 95934

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

Provided in Cooperation with: Macroeconomic Policy Institute (IMK) at the Hans Boeckler Foundation

Provided in Cooperation with: Macroeconomic Policy Institute (IMK) at the Hans Boeckler Foundation econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Zwiener,

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19.

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19. Neues Handlungsfeld des Projektmanagements Prof. Dr. Michael Klotz 4. gfo-regionalmeeting 9. Januar 20 SIMAT STRALSUND INFORMATION MANAGEMENT TEAM Gliederung. Was ist? 2. Um welche geht es? 4. Wozu das

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Massood Salehi Vertriebsleiter der Region Süd

Massood Salehi Vertriebsleiter der Region Süd Massood Salehi Vertriebsleiter der Region Süd 1 Agenda Historie und Entstehung von COBIT Ursachen für fehlende Governance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb

Mehr

Messung und Bewertung von Prozessqualität Ein Baustein der Governance

Messung und Bewertung von Prozessqualität Ein Baustein der Governance Messung und Bewertung von Prozessqualität Ein Baustein der Governance Prof. Dr. Ralf Kneuper Beratung für Softwarequalitätsmanagement und Prozessverbesserung Ralf Kneuper Dipl.-Mathematiker, Univ. Bonn

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Working Paper Ein generisches Prozessmodell zur Einführung eines IT-Risikomanagement-Prozesses

Working Paper Ein generisches Prozessmodell zur Einführung eines IT-Risikomanagement-Prozesses econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Kleuker,

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Die Neue Revision der ISO 9001:2015

Die Neue Revision der ISO 9001:2015 Die Neue Revision der ISO 9001:2015 Qualitätsmanagementsystem - Anforderungen Akkreditiert durch Akkreditierung Austria Parkstraße 11 A-8700 Leoben Tel.: +43 (3842) 48476 Fax: DW 4 e-mail: office@systemcert.at

Mehr

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH Dokumentation eines integrierten Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS Forum 4. November 2010, Dortmund Umfang der Dokumentation ISO 14001: "Das übergeordnete Ziel dieser Inter-

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

COMPLIANCE REPORT 2015.

COMPLIANCE REPORT 2015. RWE AG COMPLIANCE REPORT 2015. UND ORIENTIERUNG GEBEN: COMPLIANCE 2 COMPLIANCE REPORT 2015 COMPLIANCE REPORT 2015. Tätigkeitsschwerpunkt der Compliance-Organisation bei RWE ist die Korruptionsprävention.

Mehr

Übungsbeispiele für die mündliche Prüfung

Übungsbeispiele für die mündliche Prüfung Übungsbeispiele für die mündliche Prüfung Nr. Frage: 71-02m Welche Verantwortung und Befugnis hat der Beauftragte der Leitung? 5.5.2 Leitungsmitglied; sicherstellen, dass die für das Qualitätsmanagementsystem

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 Übersicht 1. Risikomanagement - Hintergrund 2. Risikomanagement ISO 9001: 2015 3. Risikomanagement Herangehensweise 4. Risikomanagement Praxisbeispiel

Mehr

Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung

Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung Auf die richtigen Key Performance Indicators (KPI) kommt es an Seit dem spektakulären Zusammenbruch der US-Investmentbank Lehman

Mehr

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Optimale Prozessorganisation im IT Management

Optimale Prozessorganisation im IT Management Optimale Prozessorganisation im IT Management Was heisst optimal? Stichwort IT Governance 1 2 3 IT Governance soll die fortwährende Ausrichtung der IT an den Unternehmenszielen und Unternehmensprozessen

Mehr

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008 Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008 Qualität ist keine Funktion Qualität ist ein Weg des Denkens. Qualität ist die Summe aller Tätigkeiten in einem Unternehmen.

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement

Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement QUALITY APPs Applikationen für das Qualitätsmanagement Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement Autor: Prof. Dr. Jürgen P. Bläsing Mit RACI wird im amerikanischen/englischen

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

2 Einführung und Grundlagen 5

2 Einführung und Grundlagen 5 xi Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT.............................. 5 2.2 Trends und Treiber................................ 7 2.3 Geschäftsarchitektur

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Oracle Scorecard & Strategy Management

Oracle Scorecard & Strategy Management Oracle Scorecard & Strategy Management Björn Ständer ORACLE Deutschland B.V. & Co. KG München Schlüsselworte: Oracle Scorecard & Strategy Management; OSSM; Scorecard; Business Intelligence; BI; Performance

Mehr

Betriebswirtschaftliche Grundsätze für. Struktur, Elemente und Ausgestaltung nach IDW PS 980. Von Dr. Karl-Heinz Withus

Betriebswirtschaftliche Grundsätze für. Struktur, Elemente und Ausgestaltung nach IDW PS 980. Von Dr. Karl-Heinz Withus Betriebswirtschaftliche Grundsätze für Compliance-Management-Systeme Struktur, Elemente und Ausgestaltung nach IDW PS 980 Von Dr. Karl-Heinz Withus ERICH SCHMIDT VERLAG Inhaltsverzeichnis Geleitwort Vorwort

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

IT-Controlling in der Sparkasse Hildesheim

IT-Controlling in der Sparkasse Hildesheim 1 IT-Controlling in der der Steuerungsregelkreislauf für IT-Entwicklung und -Betrieb Auf Basis der IT-Strategie mit den dort definierten Zielen wurde das IT-Controlling eingeführt und ist verbindliche

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

IIBA Austria Chapter Meeting

IIBA Austria Chapter Meeting covalgo consulting GmbH IIBA Austria Chapter Meeting ITIL und Business Analyse 20. März 2012 Dr. Gerd Nanz 1040 Wien, Operngasse 17-21 Agenda Ein Praxisbeispiel Was ist Business Analyse? Was ist ein Service

Mehr

Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem Food (IMF) Verwendung finden können.

Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem Food (IMF) Verwendung finden können. III Hauptstandards und -normen Einleitung III Hauptstandards und -normen Einleitung BARBARA SIEBKE Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Der Blindflug in der IT - IT-Prozesse messen und steuern - Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Compliance aus organisatorischer Sicht

Compliance aus organisatorischer Sicht Compliance aus organisatorischer Sicht Prof. Dr. Michael Klotz 30. September 2008, 9:00-9:45 Uhr Potsdamer Management-Kongress Integriertes Prozess-, IT- und Compliancemanagement Neue Herausforderungen

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr